Kürzlich habe ich in einem meiner Lehrbücher geblättert, die ich noch von meinem Wirtschaftstudium übrig habe. Ein Kapitel ließ mich besonders aufmerken, da es zufällig auf eine wunderbare Weise die derzeitige Situation im Markt für IT-Security beschreibt. In dem Kapitel geht es um einen "Markt mit unvollständigen Informationen". Bei diesem Modell fehlen den Nachfragern entscheidende Informationen über die gehandelten Güter, während die Verkäufer die Produktexperten sind. Im Buch sind die aufgeführten Beispiele der Markt für Gesundheitsleistungen (die Patienten müssen den Diagnosen der Ärzte vertrauen) oder ein Gebrauchtwagenmarkt, in dem angepriesene Autos sich nach dem Kauf als Schrottkisten herausstellen können.
Eine Analyse eines solchen Markts bringt vereinfacht erklärt zwei Ergebnisse: Es fehlt ein Marktgleichgewicht, das heißt, es werden die verschiedensten Preise durchgesetzt, und es baut sich neben dem Preis ein zweiter marktbestimmender Faktor auf: die Reputation unter den Verkäufern. Fehlt jedoch eine solche, fallen die gehandelten Marktpreise rapide: Kunden, die ihrem Händler nicht richtig vertrauen, sind nicht bereit, hohe Preise zu zahlen.
Diese Lehre ist wie zugeschnitten auf die IT-Security-Branche. Auch hier müssen die Kunden immer mehr den Vorschlägen ihrer Dienstleister vertrauen, wenn es etwa um die neuesten Netzwerk-bedrohungen geht. Das Brisante dabei ist, dass IT-Sicherheit nicht mehr nur aus Schutzmaßnahmen gegen Viren, Spam und Schadcodes besteht. Heute verbergen sich hinter dem Begriff umfassende Konzepte, die kaum ein Unternehmen mehr überblicken kann. Von der Surf- und Inhaltskontrolle über Authentifizierung und das Einbinden mobiler Mitarbeiter bis hin zur IP-Videokamera was dem Kunden wirklich hilft, bestimmen die Experten. Ob es sich dabei um einen Spezialisten für einen bestimmten Lösungsbereich oder einen All-In-One-Lieferanten handelt, ist egal (siehe Seite 36). Den Marktpreis hält nur der hoch, der Expertise vermitteln kann.